DSGVO-Pflicht zur Datenauskunft ermöglicht Identitätsdiebstahl

Die DSGVO verpflichtet Firmen, Auskunft über gespeicherte Daten zu erteilen. Das Vorgehen vieler Unternehmen kann Betrügern dabei den Diebstahl von Identitäten erleichtern.

von Sara Petzold,
15.08.2019 19:51 Uhr

Die DSGVO beinhaltet eine Vorgabe, die Betrügern den Identitätsdiebstahl erleichtern kann.Die DSGVO beinhaltet eine Vorgabe, die Betrügern den Identitätsdiebstahl erleichtern kann.

Eigentlich soll die im Mai 2018 in Kraft getretene Datenschutzgrundverordnung der EU für mehr Datenschutz von Verbrauchern sorgen. Allerdings führt eine bestimmte Vorschrift der DSGVO dazu, dass Betrüger leichter an Daten für Identitätsdiebstähle kommen können.

Denn Kriminelle können sich die Auskunftspflicht von Unternehmen zunutze machen, um die Informationen potentieller Opfer ohne besonderen Aufwand zu ergattern.

Wie der britische Student James Pavur im Rahmen einer Studie feststellt, die er im Rahmen der »black hat«-Konferenz 2019 in Las Vegas vorstellte (via Golem), kommen diverse Firmen ihrer Auskunftspflicht besonders bereitwillig nach - eine (gefälschte) E-Mail-Adresse reichte aus.

Security-Tipps für Spieler - Accounts und System schützen

Unternehmen verschicken Daten ohne weitere Identitätskontrolle

Pavur schrieb laut eigenen Angaben mehr als 150 Firmen an und bat der DSGVO entsprechend um Auskunft über gespeicherte Daten - allerdings nicht für sich selbst. Er gab sich als seine Freundin Casey Knerr aus, die als Testperson und Mitautorin der Studie fungierte.

Um die Chancen auf Erfolg zu erhöhen, schickte Pavur neben der gefälschten E-Mail-Adresse weitere Daten seiner Freundin an die Unternehmen, die allerdings öffentlich im Internet zugänglich waren. Von den angeschriebenen Firmen antworteten 72 Prozent, davon verweigerten fünf Prozent die Auskunft.

24 Prozent der Unternehmen, die auf Pavurs Anfrage reagierten, schickten die gespeicherten Daten ohne weitere Identitätskontrolle an die angegebene E-Mail-Adresse - ein gefundenes Fressen für Identitätsbetrüger.

Ein marginaler Identitätscheck in Form einer schriftlichen Erklärung oder Geräte-Cookies reichte bei 16 Prozent der Unternehmen aus. Mehr als 60 Prozent der Antworten ließen außerdem Rückschlüsse darauf zu, ob Pavurs Freundin auf der jeweiligen Plattform überhaupt ein Konto besaß.

Präventivmaßnahmen: Bessere Legislative

Als präventive Maßnahmen gegen entsprechende Attacken schlägt Pavur den von der DSGVO betroffenen Unternehmen vor, Account-Logindaten zu verlangen sowie eIDV (»Electronic Identity Verification«) zu nutzen und verdächtige Anfragen abzulehnen.

Für künftige Gesetzgebungsverfahren empfielt Pavur, Firmen die gutgläubige Ablehnung von Anfragen zu gestatten und sie besser bei den nötigen Verifikationsverfahren zu unterstützen.

Schließlich rät Pavur als Schutzmaßnahmen vor Identitätsdiebstahl allgemein zu vorsichtigem Umgang mit eigenen Daten sowie zu Vorsicht vor Authentifizierungsanrufen. Nutzer sollten außerdem fragen, ob jemand bereits zu einem früheren Zeitpunkt eine Auskunft nach DSGVO verlangt habe.


Kommentare(81)

Nur angemeldete Benutzer können kommentieren und bewerten.

Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklärst du dich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen oder schließen